AI正在帮助黑客找漏洞,未开源合约成加密行业新风险点
加密行业曾长期相信一个简单逻辑:代码不公开,攻击者发现漏洞的难度就会更高。
现在,这个逻辑正在被现实快速瓦解。
区块链分析机构Chainalysis最新报告显示,过去六个月里,至少有3670万美元资产因未验证源码的智能合约漏洞被盗,涉及Truebit、Trusted Volumes、Aperture Finance、Ekubo等多个协议。相比传统的私钥泄露、钓鱼攻击或跨链桥漏洞,这类事件背后呈现出一个新的趋势——隐藏代码正在成为攻击者重点研究的对象。
表面上看,未验证源码意味着项目方没有向公众公开完整代码,用户只能看到合约地址和链上行为,而无法直接审查具体逻辑。过去不少团队认为,这种方式能够降低竞争对手抄袭风险,也能减少攻击者研究系统的机会。
但技术环境已经发生变化。
随着反编译工具成熟,以及AI大模型在代码分析领域能力持续提升,智能合约正在经历一次“逆向工程平民化”。过去需要资深安全研究员耗费数周时间分析的目标,现在可能被自动化工具在更短时间内完成初步拆解。
某种程度上,AI正在降低漏洞挖掘的门槛。
对于攻击者而言,未验证源码不再意味着看不见,而更像是一道稍微复杂一点的谜题。通过链上数据、字节码分析和大模型辅助推理,他们能够快速筛选数千个目标合约,并识别潜在风险点。规模化扫描成为可能后,攻击逻辑也发生变化——从“寻找特定猎物”转向“批量寻找脆弱目标”。
这与传统网络安全行业的发展轨迹颇为相似。
十多年前,企业认为隐藏系统架构能够提升安全性。后来安全行业逐渐形成共识:真正的安全不应建立在保密基础上,而应建立在即使代码公开依然能够抵御攻击的能力之上。开源软件生态的发展,也正是基于这种理念。
加密行业如今正在经历类似转变。
事实上,越来越多头部DeFi协议已经将代码公开验证视为标准操作。对于管理数亿美元甚至数十亿美元资产的协议来说,社区审查本身就是一种额外防御机制。代码公开后,不仅专业审计机构能够检查漏洞,独立研究员、白帽黑客乃至普通开发者都可能发现问题。
当然,公开源码并不等于绝对安全。
过去几年里,不少经过多轮审计、完全开源的协议同样遭遇攻击。问题在于,未验证源码如今已经从“额外保护层”逐渐演变成“额外风险因素”。当AI工具能够辅助逆向分析时,项目方失去了社区监督带来的好处,却未必真正增加攻击门槛。
Chainalysis因此建议协议运营方公开验证管理用户资金的核心合约,同时建立更完整的安全体系,包括第三方审计、漏洞赏金计划以及实时链上监控机制。
从行业角度看,这份报告释放出的信号或许比3670万美元损失本身更值得关注。
过去几年,加密安全领域主要围绕跨链桥、多签钱包和私钥管理展开。如今,随着AI介入代码分析,攻击面正在向智能合约底层逻辑进一步延伸。未来的竞争不只是协议功能创新速度,更是安全能力建设速度。
对于开发者而言,一个新的现实已经出现:代码藏起来,并不意味着没人能看见。相反,在AI时代,被隐藏的代码反而可能更容易成为被重点研究的目标。